De EDPB maakt duidelijk dat doorgifte van persoonsgegevens naar het Verenigd Koninkrijk met de – nog steeds waarschijnlijke – no deal-Brexit per 1 januari 2021 zal moeten voldoen aan de aanvullende eisen daarvoor uit de Algemene Verordening Gegevensbescherming (AVG). Tevens heeft de EDPB zijn plannen voor de komende jaren gepubliceerd en een geschil tussen verschillende Europese privacytoezichthouders over het voorlopige boetebesluit voor Twitter beslecht.
Eerste bindend besluit EDPB
Net voor het kerstreces publiceerde de EDPB zijn eerste bindende besluit op grond van artikel 65 AVG. Het gaat over de geschilbeslechting tussen toezichthouders van diverse lidstaten over de voorgenomen boete van de Ierse toezichthouder aan Twitter wegens het te laat melden van een datalek en het niet adequaat registreren van dat datalek. Tegen het conceptbesluit kwamen diverse bezwaren van andere toezichthouders, waaronder van de Autoriteit Persoonsgegevens. Omdat de Ierse toezichthouder niet bereid was om zijn besluit aan te passen, is de EDPB verzocht om een bindend besluit. Een heel aantal bezwaren wordt door de EDPB afgewezen. Waar dergelijke bezwaren aan moeten voldoen is door de EDPB toegelicht in zijn concept-richtsnoeren. De Ierse toezichthouder moest van de EDPB de voorgenomen boete aan Twitter wel verhogen. Op 15 december is het boetebesluit gepubliceerd waarbij een boete van 450.000 euro aan Twitter is opgelegd.
EDPB Strategy 2021-2023
Voor de komende jaren heeft de EDPB vier pijlers vastgesteld in het licht van zijn missie om een consistente toepassing van de AVG en de samenwerking tussen alle toezichthouders binnen de EU te bevorderen. De eerste pijler ziet op verdere harmonisatie. De EDPB zal nieuwe guidelines publiceren over de uitleg van relevante onderwerpen uit de AVG, zoals de uitleg van het gerechtvaardigd belang. Daarnaast zal de EDPB met handreikingen komen die de naleving van de AVG makkelijker moeten maken en worden tools ontwikkeld om de bewustwording bij het MKB en bij betrokkenen te verhogen. Wie weet komt de EDPB toch nog met bruikbare pictogrammen om makkelijk te kunnen zien wat er met je persoonsgegevens gebeurt. De tweede pijler ziet op de effectieve handhaving van de AVG. Met de derde pijler beoogt de EDPB invloed uit te oefenen op de bescherming van persoonsgegevens bij nieuwe technologieën. Tot slot toont de laatste pijler de ambitie van de EDPB om de Europese bescherming van persoonsgegevens te verheffen tot hét mondiale model.
EDPB statement gevolgen Brexit vanaf 2021
Zoals het er nu uitziet komt er geen Brexit-deal. Dat betekent dat de AVG vanaf 1 januari 2021 niet meer geldt in het Verenigd Koninkrijk. In zijn Statement on the end of the Brexit transition period en Information Note herinnert de EDPB iedereen eraan dat vanaf dat moment voor een uitwisseling van persoonsgegevens tussen organisaties in de EU en het Verenigd Koninkrijk de aanvullende eisen gelden van de AVG voor doorgifte naar ‘derde-landen’. Zoals ik in mijn bijdrage van augustus schreef, heeft het Schrems II-arrest van het Europees Hof van Justitie gevolgen voor alle doorgiften van persoonsgegevens buiten de EER. De concept ‘Standard Contractual Clauses’ van de Europese Commissie (met vier modules) én de aanbevelingen van de EDPB die volgden op dat arrest, bieden handvatten om de doorgiftes naar het Verenigd Koninkrijk na 1 januari 2021 in overeenstemming met de AVG te brengen.
Meer dan genoeg leesvoer voor onder de kerstboom. Een gelukkig en gezond 2021 gewenst met de geruststelling dat de EDPB heel wat goede voornemens heeft om te waken over de bescherming van uw persoonsgegevens.